Volgens Pieter de Kok is er behoefte aan ketenassurance: zekerheid die niet stopt bij de rechtspersoon, maar de gehele transactiestroom volgt.

Discussie Column Vandaag

Ketenassurance: lessen uit ESG voor innovatie in de audit

Begin dit jaar verscheen in het FD een kort essay waarin ik een aantal onderwerpen in samenhang heb besproken. Uiteraard was hierbij het vertrekpunt ongoing monitoring meets ongoing auditing. Dit verhaal vertel ik al sinds ik in 2005 met Coney Minds ben gestart. Mijn ambitie is nog steeds om de controle van de jaarrekening (als verantwoording) continu te maken, ofwel ongoing assurance. En niet alleen assurance bij de jaarrekening, maar ook expliciet bij het bredere interne beheersingsraamwerk en het meten van prestaties en risico's. Technologisch staan we hier niet ver vanaf.

Door in het 'nu' te werken, is er niet alleen sprake van een realtime verantwoording naar het maatschappelijk verkeer, maar ontstaat in het nu ook relevante stuur- en meetinformatie voor de organisatie zelf. Dit heb ik verder gekoppeld aan vraagstukken van ketenassurance, assurance-op-maat en forward looking. De rode draad is mijn verhaal is dat de controle van de jaarrekening achterloopt bij het tempo van de economie.

De reacties uit het veld waren deels voorspelbaar; positief uit de economie, terughoudend uit het beroep. Verder niet erg, het gaat om met elkaar nadenken over echte innovatie. Niet praten over AI in de audit (die er, los van wat LLM-gebruik, inmiddels ook gelabeld als AI, niet is), maar nadenken over wat de economie echt vraagt.

Als de Trumpiaanse wind doorblaast, dezelfde wind die de ESG-initiatieven in EU heeft omgeblazen (hoewel de insteek wellicht ook iets te compliance was, hielp ook niet), kan deze wind er dan op een dag ook voor zorgen dat de wettelijke bescherming rondom de controle van de jaarrekening er niet meer is? En wat dan? Belt de economie nog? Zijn we dan nog relevant, met alleen terugkijken?

Met elkaar sparren over echte innovatie vind ik leuk, ik hoef niet mijn gelijk te hebben, ik spar gewoon graag met enthousiaste mensen. Niet met mensen die alleen maar beren op de weg zien. In dit kader wil ik nog eens een element uit mijn verhaal verder uitlichten: ketenassurance.

Ik denk dat we allemaal onderkennen dat organisaties vandaag opereren in sterk geïntegreerde ketens. Waardecreatie vindt niet langer plaats binnen één rechtspersoon, maar in netwerken van leveranciers, platforms en afnemers. Juist daar ontstaan ook de grootste risico's: op de knooppunten tussen partijen. Toch eindigt de traditionele accountantscontrole nog altijd bij de juridische entiteit. Waar risico's realtime door de keten bewegen, stopt assurance precies waar die risico's beginnen.

Dat spanningsveld leidt tot een groeiende kloof tussen het tempo van de economie en de jaarlijkse controleverklaring. Die verklaring geeft zekerheid over een momentopname van het verleden, terwijl bedrijfsrealiteit en datastromen continu veranderen. Zonder aansluiting op realtime informatie verliest zo'n snapshot snel zijn zeggingskracht. De conclusie is ongemakkelijk, maar onontkoombaar: de klassieke vorm van assurance is naar mijn mening te klein geworden voor de wereld waarin zij moet functioneren.

Er is daarom behoefte aan keten-assurance: zekerheid die niet stopt bij de rechtspersoon, maar de gehele transactiestroom volgt. Alleen zo kan de betrouwbaarheid van informatie in geïntegreerde ketens worden verhoogd en kunnen risico's worden geadresseerd, daar waar ze zich daadwerkelijk voordoen.

Wat is keten-assurance?

Keten-assurance betekent dat een auditor, eventueel in samenwerking met andere auditors, zekerheid verschaft over gegevensstromen en processen tussen organisaties. Niet alleen de jaarrekening van entiteit A of B staat centraal, maar de transactiestromen die A, B en C met elkaar verbinden.

Een concreet voorbeeld is een renewable energy-keten: de inkoop en verkoop van grondstoffen door entiteit A, verwerking en productie bij entiteit B en uiteindelijke verkoop aan afnemer C. Keten-assurance betekent dat de accountant niet alleen bij C controleert of duurzame grondstoffen correct zijn verantwoord, maar ook verifieert of de hoeveelheden en kwaliteiten in eerdere schakels aansluiten. De zekerheid verschuift van individuele verantwoording naar end-to-end consistentie.

De vorm kan variëren: deelverklaringen over specifieke ketenprocessen, assurance reports op gedeelde dataplatforms, of zelfs realtime assurance-dashboards voor stakeholders. Het uitgangspunt is 'zekerheid op maat': afgestemd op de informatiebehoefte van gebruikers, in plaats van één generiek oordeel voor iedereen.

Doorlopende auditing als spiegel van monitoring

Keten-assurance vergt een andere controlefrequentie. Hier komt ongoing auditing in beeld. Waar organisaties intern steeds vaker werken met doorlopende monitoring, realtime inzicht in processen, data en afwijkingen, moet de externe audit daarop aansluiten.

Doorlopende auditing betekent niet dat de accountant continu alles controleert. Het gaat om frequente, risicogerichte toetsing op die onderdelen van de keten waar veel verandert en waar de impact groot is.

De externe audit wordt zo een spiegel van interne monitoring: afwijkingen die intern worden gesignaleerd, kunnen vrijwel gelijktijdig extern worden beoordeeld. Interne en externe zekerheid versterken elkaar daardoor structureel, in plaats van elkaar slechts jaarlijks te ontmoeten. Deze ideale toestand, ooit door mij aangeduid als Happy Land (2005), vraagt wel om nieuwe vaardigheden van accountants én volwassen interne databeheersing bij organisaties. Zonder betrouwbare realtime interne informatie heeft doorlopende externe zekerheid geen fundament. Ongoing auditing is daarmee geen doel op zich, maar het externe perspectief dat synchroon loopt met interne sturing en informatievoorziening.

Lessen uit ESG-assurance

De afgelopen jaren is bij ESG-rapportages geëxperimenteerd met ketenbrede assurance. Die ervaringen zijn leerzaam, juist omdat ze vaak stroef verliepen.

Een eerste les is realisme. De CSRD voorzag aanvankelijk in opschaling naar redelijke assurance, maar het Omnibus-pakket heeft die ambitie teruggeschroefd. Beperkte assurance bleek het maximaal haalbare, gezien de complexiteit en kosten. Voor ketenassurance geldt hetzelfde: begin klein, gericht en beheerst.

Een tweede les is focus. ESG-rapportages dreigden te verdrinken in honderden datapunten. En ja, ik weet het, ook de jaarrekeningcontrole omvat ongelofelijk veel datapunten. Mijn punt is dat ketenassurance juist scherpe keuzes vraagt: welke transactiestromen zijn materieel, waar zitten de echte risico's en welke informatie heeft daadwerkelijk besliswaarde? Daar kunnen we van leren.

Daarnaast bleek standaardisatie cruciaal. Zonder uniforme definities, dataformaten en toetsingscriteria wordt assurance diffuus. ESG worstelde hier jarenlang mee; ketenassurance kan die fout vermijden door vooraf afspraken te maken over dataprotocollen en 'ketenkoppelingen' (ik weet even geen beter woord).

Ook samenwerking bleek essentieel. Eén partij kan ketentransparantie niet afdwingen. Tegelijk liet ESG zien dat proportionaliteit nodig is: niet elke schakel kan dezelfde lasten dragen. Vertrouwen, governance en heldere afspraken over datadeling zijn randvoorwaarden.

Tot slot was technologie onmisbaar. Handmatige Excel-processen bleken onhoudbaar. Ketenassurance vraagt om digitale infrastructuur: geïntegreerde ERP-systemen, API-koppelingen, sensoren en mogelijk blockchainachtige-toepassingen (kent u die narrative nog?) die transacties realtime en onveranderbaar vastleggen. Hoe sterker de single source of truth, hoe hoger de assurance-waarde.

Wat levert keten-assurance op?

De toegevoegde waarde is aanzienlijk. Allereerst ontstaat continuïteit van zekerheid. In plaats van achteraf, kan assurance over kritieke ketenprocessen hoogfrequent of realtime worden verkregen. Afwijkingen komen sneller aan het licht en kunnen tijdig worden gecorrigeerd.

Daarnaast ontstaat een completer risicobeeld. Risico's bij leveranciers of afnemers verdwijnen niet langer buiten beeld, maar worden onderdeel van het assurance-oordeel. Dit vergroot de relevantie van assurance voor financiers, toezichthouders en bestuurders.

Ook neemt de efficiency toe. Als ketentransacties centraal zijn gevalideerd, hoeven partijen minder dubbel te controleren. Dat verlaagt administratieve lasten en kan auditkosten op termijn reduceren.

Voor ondernemingen biedt ketenassurance bovendien strategische voordelen. Realtime betrouwbare ketendata versnellen besluitvorming, verlagen financieringskosten en maken nieuwe samenwerkingsmodellen mogelijk. Transparantie wordt daarmee geen compliancelast, maar een concurrentiefactor.

Randvoorwaarden voor succes

Succes vraagt om meer dan goede bedoelingen. Realtime interne monitoring is essentieel, net als ketenbrede IT-integratie. Governance moet helder zijn: wie is verantwoordelijk voor welke assurance en hoe worden bevindingen gedeeld?

Ook wet- en regelgeving speelt een rol. ESG liet zien dat vrijwilligheid beperkt werkt; duidelijke kaders creëren een gelijk speelveld. Tot slot is een cultuurverandering nodig. Accountants moeten 'comfortabel' worden met data-gedreven, doorlopende assurance. Organisaties moeten de auditor niet zien als permanente controleur, maar als partner in betrouwbaarheid. Oh ja, niet denken in termen van 'ja maar' of 'klinkt heel moeilijk'; zo moeilijk is het allemaal niet. Als we naar Mars kunnen vliegen, kunnen we ongoing assurance in relevante ketens ook organiseren.

Beste lezers en vaste reageerders, keten-assurance en doorlopende auditing staan in 2026 nog niet in de kinderschoenen, maar mij betreft is de denkrichting duidelijk. De controlepraktijk moet meebewegen met realtime data en ketensamenwerking. De lessen uit ESG-assurance laten zien dat dit geen eenvoudige opgave is, maar ook dat het kan, mits stapsgewijs, gefocust en in samenwerking.

Ketenassurance (in context van andere denklijnen) biedt de kans om assurance weer relevant te maken in het tempo van de economie. Niet door de traditionele verklaring te vervangen, maar door haar uit te breiden naar waar waarde en risico's werkelijk ontstaan. Dat is geen luxe, maar een noodzakelijke volgende stap.

Het lijkt mij ontzettend leuk om hier met mensen die in termen van kansen kunnen denken, verder over te (blijven) sparren. Bijvoorbeeld door een overzicht te maken van alle relevante ketens in Nederland en dan nadenken met relevante stakeholders hoe een keten-assurance-traject kan worden ingericht.